Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Protección de los datos con la protección autónoma contra el ransomware
<a name="ARP"></a>

 La protección autónoma contra el ransomware (ARP) es una característica de NetApp ONTAP impulsada por la IA que monitorear y protege sus datos contra los ataques de ransomware y malware en caso de que sus clientes de Windows o Linux se vean comprometidos. Mediante machine learning, ARP se familiariza con los sistemas de archivos de FSx para ONTAP para que detecten proactivamente actividades anormales. El ARP está disponible para todos los sistemas de archivos de FSx para ONTAP nuevos y existentes en todos los lugares donde Amazon FSx para NetApp ONTAP de Regiones de AWS esté disponible. 

## Cómo funciona ARP
<a name="how-ARP-works"></a>

Puede habilitar el ARP por volumen o de forma predeterminada en todos los volúmenes nuevos de una SVM mediante la CLI de ONTAP o la API de REST. Para obtener más información acerca de la habilitación de ARP, consulte [Habilitar la protección autónoma contra el ransomware](enable-ARP.md).

Como la IA de ARP se entrena en un conjunto de datos completo, no necesita un período de aprendizaje para que ARP se ejecute en los Volúmenes de FlexVol y, por lo tanto, comienza en modo activo de inmediato. La IA de ARP también incluye una característica de actualización automática para garantizar una protección y resiliencia constantes contra las amenazas más recientes. En el modo activo, ARP monitorea los datos entrantes y la actividad del volumen para identificar posibles ataques de ransomware y malware. Para obtener más información, consulte [Qué busca ARP](#ARP-detects). Si ARP detecta alguna actividad anómala, se crea automáticamente una instantánea de ONTAP para ayudarle a recuperar los datos lo más cerca posible del momento del posible ataque. La instantánea tendrá el prefijo de `Anti_ransomware_backup`, por lo que es fácil de identificar. Si se determina que la probabilidad de ataque es moderada, ONTAP generará un mensaje del Sistema de administración de Eventos (EMS) para que lo revise. Para obtener más información, consulte [Cómo responder ante un presunto ataque con ARP](#suspected-attack-ARP) y [Comprenda las alertas de EMS para la protección autónoma contra el ransomware](EMS-ARP.md). 

La sobrecarga de rendimiento del ARP es mínima para la mayoría de las cargas de trabajo. Si sus volúmenes tienen cargas de trabajo de lectura intensiva, NetApp recomienda proteger no más de 150 volúmenes de este tipo por sistema de archivos. Si supera este número, las IOPS para esa carga de trabajo podrían reducirse hasta un 4 %. Si sus volúmenes tienen cargas de trabajo de escritura intensiva, NetApp recomienda proteger no más de 60 volúmenes de este tipo por sistema de archivos. De lo contrario, las IOPS de esa carga de trabajo podrían reducirse hasta un 10 %. Para obtener más información acerca del desempeño, consulte [Amazon FSx para el rendimiento de NetApp ONTAPDesempeño](performance.md).

La activación de ARP en su sistema de archivos de FSx para ONTAP no conlleva ningún coste adicional.

## Qué busca ARP
<a name="ARP-detects"></a>

ARP busca señales de que sus clientes de Windows o Linux están en peligro. En particular, ARP busca los siguientes tipos de actividad en el volumen:
+ Cambios en la entropía, es decir, diferencias en la asignación al azar de los datos de un archivo.
+ Cambios en los tipos de extensión de archivo, lo que significa que la nueva extensión no es coherente con el tipo de extensión que se utiliza normalmente. El valor predeterminado es de 20 archivos con extensiones de archivo que no se habían observado anteriormente en el volumen.
+ Cambios en las IOPS de los archivos, lo que se traduce en un aumento de la actividad anormal del volumen de datos cifrados.

Si es necesario, puede modificar los parámetros de detección de ransomware de su volumen. Por ejemplo, si su volumen aloja muchos tipos de extensiones de archivo. Para obtener más información, consulte [administrar los parámetros de detección de la protección autónoma contra ransomware para FSx para ONTAP](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html) en el Centro de documentación de NetApp.

**nota**  
El ARP no impide que administradores deshonestos con credenciales accedan a su sistema de archivos de FSx para ONTAP. AWS recomienda un enfoque de seguridad por capas que incluya AWS Backup, instantáneas de ONTAP y SnapLock.

## Cómo responder ante un presunto ataque con ARP
<a name="suspected-attack-ARP"></a>

Si el ARP detecta un ataque, generará una instantánea que se puede utilizar como punto de recuperación. La instantánea está bloqueada y no se puede eliminar por los medios convencionales. Según la gravedad del ataque, también generará una alerta EMS que muestra el volumen afectado, la probabilidad de ataque y la cronología del ataque. Si desea recibir alertas sobre la creación de una nueva instantánea o la observación de una nueva extensión de archivo en su volumen, puede configurar el ARP para que envíe estas alertas. Para obtener más información, consulte [Configurar alertas ARP](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts) en el Centro de documentación de NetApp ONTAP.

Puede generar un informe para ver información detallada sobre un presunto ataque. Tras revisar el informe, ONTAP podrá saber si la alerta se generó por un falso positivo o por un presunto ataque. Si etiqueta la alerta como un presunto ataque, debe determinar el alcance del ataque y, a continuación, recuperar los datos de la instantánea creada por el ARP. Si etiqueta el ataque como un falso positivo, la instantánea creada por el ARP se elimina automáticamente. Para obtener más información, consulte [Responder a las alertas de protección autónoma contra el ransomware](respond-ARP.md).

Le recomendamos que monitores los mensajes EMS del sistema de archivos y el estado de los volúmenes en la CLI de ONTAP y la API de REST. Para más información acerca de los mensajes EMS para ARP, consulte [Comprenda las alertas de EMS para la protección autónoma contra el ransomware](EMS-ARP.md).

**Topics**
+ [Cómo funciona ARP](#how-ARP-works)
+ [Qué busca ARP](#ARP-detects)
+ [Cómo responder ante un presunto ataque con ARP](#suspected-attack-ARP)
+ [Habilitar la protección autónoma contra el ransomware](enable-ARP.md)
+ [Responder a las alertas de protección autónoma contra el ransomware](respond-ARP.md)
+ [Comprenda las alertas de EMS para la protección autónoma contra el ransomware](EMS-ARP.md)

# Habilitar la protección autónoma contra el ransomware
<a name="enable-ARP"></a>

Los siguientes procedimientos explican cómo usar la CLI de ONTAP para habilitar el modo activo de la protección autónoma contra el ransomware (ARP) y cómo verificar que la ARP esté habilitada. Para obtener más información sobre ARP, consulte [Cómo funciona ARP](ARP.md#how-ARP-works).

## Habilitar el ARP en modo activo
<a name="enable-active-mode-ARP"></a>

**Para habilitar el ARP en modo activo en un volumen existente mediante la CLI ONTAP**
+ Ejecute el siguiente comando. Reemplace *vol\$1name* y *svm\$1name* con su propia información. 

  ```
  security anti-ransomware volume enable -volume vol_name -vserver svm_name
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description) en el centro de documentación de NetApp.

## Habilitar ARP de forma predeterminada en el nivel de SVM
<a name="enable-ARP-default"></a>

**Para habilitar ARP de forma predeterminada en una SVM existente mediante la CLI de ONTAP**
+ Ejecute el siguiente comando. Reemplace *svm\$1name* con su propia información. 

  ```
  vserver modify -vserver svm_name -anti-ransomware-default-volume-state dry-run
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description](https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description) en el centro de documentación de NetApp.

## Verificar el estado del ARP
<a name="verify-ARP-status"></a>

**Para verificar el estado del ARP mediante la CLI de ONTAP**
+ Ejecute el siguiente comando. 

  ```
  security anti-ransomware volume show
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description) en el centro de documentación de NetApp.

Puede suspender temporalmente (y luego reanudar) el ARP si anticipa eventos de gran carga de trabajo. Para obtener más información, consulte [Pausar la protección autónoma contra el ransomware de ONTAP para excluir del análisis los eventos de carga de trabajo](https://docs.netapp.com/us-en/ontap/anti-ransomware/pause-task.html) en el Centro de documentación de NetApp.

# Responder a las alertas de protección autónoma contra el ransomware
<a name="respond-ARP"></a>

Los siguientes procedimientos explican cómo utilizar la CLI de ONTAP para ver las alertas de la protección autónoma contra el ransomware (ARP), generar informes de ataques y tomar medidas en característica de los informes. Para obtener más información sobre cómo el ARP detecta y responde a los ataques, consulte [Qué busca ARP](ARP.md#ARP-detects) y [Cómo responder ante un presunto ataque con ARP](ARP.md#suspected-attack-ARP).

## Visualización de alertas ARP
<a name="view-ARP-alert"></a>

**Para ver una alerta ARP en un volumen mediante la CLI de ONTAP**
+ Ejecute el siguiente comando. Reemplace *svm\$1name* y *vol\$1name* con su propia información. 

  ```
  security anti-ransomware volume show -vserver svm_name -volume vol_name
  ```

  Luego de ejecutar el comando, aparecerá un resultado similar al del siguiente ejemplo:

  ```
  Vserver Name: fsx
  Volume Name: vol1
  State: enabled
  Attack Probability: moderate
  Attack Timeline: 9/14/2021 01:03:23
  Number of Attacks: 1
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description) en el centro de documentación de NetApp.

## Generación de informes ARP
<a name="generate-ARP-report"></a>

**Para generar informes ARP mediante la CLI de ONTAP**
+ Ejecute el siguiente comando. Reemplace *vol\$1name* y */file\$1location/* con su propia información. Tras generar el informe, podrá verlo en un sistema de cliente. 

  ```
  security anti-ransomware volume attack generate-report -volume vol_name -dest-path /file_location/
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description) en el centro de documentación de NetApp.

## Adopción de medidas sobre los informes del ARP
<a name="take-action-ARP"></a>

**Para tomar medidas en caso de un ataque de falso positivo desde un informe de ARP mediante la CLI de ONTAP**
+ Ejecute el siguiente comando. Reemplace *svm\$1name*, *vol\$1name* y *[extension identifiers]* con su propia información. 

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description) en el centro de documentación de NetApp.
**nota**  
Cuando marca una alerta como un falso positivo, se actualiza el perfil del ransomware. Después de hacerlo, no volverá a recibir una alerta sobre ese escenario en particular.

**Para tomar medidas ante un posible ataque desde un informe de ARP mediante la CLI de ONTAP**
+ Ejecute el siguiente comando. Reemplace *svm\$1name*, *vol\$1name* y *[extension identifiers]* con su propia información. 

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
  ```

  Para obtener información sobre este comando, consulte la documentación de [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description) en el centro de documentación de NetApp.

# Comprenda las alertas de EMS para la protección autónoma contra el ransomware
<a name="EMS-ARP"></a>

Puede utilizar el EMS de NetApp ONTAP's para monitorear los eventos relacionados con el ARP, incluidos los posibles ataques. Para obtener más información sobre el ARP y cómo detecta los ataques, consulte [Cómo funciona ARP](ARP.md#how-ARP-works) y [Qué busca ARP](ARP.md#ARP-detects). 

La siguiente tabla contiene todas las alertas relacionadas con el ARP. Para obtener más información sobre EMS, consulte [Monitorización de FSx para eventos ONTAP EMS](ems-events.md). 


****  

| Nombre del mensaje del EMS | Descripción del mensaje del EMS | 
| --- | --- | 
|  `arw.analytics.ext.report`  |  Este mensaje aparece cuando los análisis antiransomware generan o actualizan el informe de **extensiones de archivo sospechosas** de un volumen.  | 
|  `arw.analytics.high.entropy`  |  Este mensaje aparece cuando el número de mensajes de registro de datos de alta entropía (relacionados con la detección y el análisis del ransomware) supera el umbral predefinido para un volumen.  | 
|  `arw.analytics.probability`  |  Este mensaje aparece cuando la probabilidad de un ataque antiransomware ha cambiado de `low` a `high` en un volumen.  | 
|  `arw.analytics.report`  |  Este mensaje aparece cuando se genera o actualiza un informe de análisis antiransomware para un volumen.  | 
|  `arw.analytics.suspects`  |  Este mensaje aparece cuando la lista de sospechosos generada por los análisis antiransomware aumenta hasta el punto de que es necesario investigar más a fondo.  | 
|  `arw.new.file.extn.seen`  |  Este mensaje aparece cuando se detecta una nueva extensión de archivo en un volumen compatible con la protección antiransomware. Su objetivo es notificar rápidamente al usuario acerca de la extensión observada, lo que permite una investigación oportuna.  | 
|  `arw.snapshot.created`  |  Este mensaje aparece cuando se crea una nueva instantánea de ARP en un volumen compatible con la protección antiransomware. Además, proporciona información sobre el motivo por el que se creó la instantánea.  | 
|  `arw.volume.state`  |  Este mensaje aparece cuando se cambia el estado de protección antiransomware de un volumen.  | 
|  `arw.vserver.state`  |  Este mensaje aparece cuando se cambia el estado antiransomware de un SVM.  |